Special
» 2018年05月23日 10時00分 公開

常時HTTPS化時代の注目ソリューション――高信頼、高コスパ、国産のJPRSサーバ証明書に死角なし (1/4)

“常時HTTPS化”はシステム管理者にとって無視できないトレンドの1つ。サーバ証明書の選び方から導入までを完全解説。

[PR/ITmedia]
PR

 現在、Webサイトの「常時HTTPS化」(常時SSL化ともいわれる)の流れが今まで以上に加速している。常時HTTPS化は、Webサイトの一部のみをHTTPS化するのではなく、Webサイト全体をHTTPS化すること。その流れをけん引しているのがGoogleだ。Googleの検索結果でHTTPSではないサイトは相対的に順位が下がり、Google Chromeは2018年7月にリリース予定のバージョンから、HTTPSではないサイトにアクセスすると「保護されていません」と表示するようになる。Google以外のWebブラウザ、検索サイトでも追従する動きがあるため、常時HTTPS化はインターネットの常識となりつつある。

 そうなると全ての公開サイトだけでなく、ステージングサイトや開発用サイトでもHTTPS化が必要になる。動作確認するにあたっては本番環境と同様のプロトコルを使用することが望ましいからだ。

GoogleはHTTPSによる暗号化を採用するよう強く働きかけている

常時HTTPS化時代の証明書の選び方

 常時HTTPS化を行うにはサーバ証明書の導入が必要になる。

 だが、一口に「サーバ証明書」と言っても種類・ブランドも数多くあり、価格もまちまちだ。同じ有効期間1年のものでも無料のものから20万円以上のものまで幅広く、どれを選べばよいのか判断に迷うかもしれない。とはいえ、Googleの検索順位を下げないこと、Google Chromeでの警告表示を回避すること、という目的を踏まえて考えると選び方は難しくない。

 サーバ証明書の選び方のポイントは大きく2つある。「どの種類を選ぶか」と「どこの認証局を選ぶか」だ。まず種類についてだが、サーバ証明書の種類は何を証明しているかで分けられる。

 サーバ証明書の種類にはドメイン認証(DV)、組織認証(OV)、EVというものがある。ドメイン認証(DV)はドメイン名の利用権があることを証明し、OV、EVは組織の実在性を証明するサーバ証明書だ。

 だが、常時HTTPS化が求められる大きな理由は通信の暗号化であり、Googleの検索順位ではURLが「https:」で始まることが順位を下げない条件となる。OVやEVでなくてもドメイン認証(DV)で十分、条件を満たすことができる。

 次に認証局を選ぶ。認証局はサーバ証明書を発行する組織のことだが、どこの認証局を選べばよいのだろうか。

ドメイン認証でJPRSを選ぶべき理由

 常時HTTPS化に向けてサーバ証明書の種類は、ドメイン認証(DV)を選んだ。次に認証局(ブランド)を選定する。同じサーバ証明書の種類でも認証局によって価格はまちまちで、どう判断すればよいか悩む担当者も多いのではないだろうか。ドメイン認証の場合、JPRSの証明書を検討してみてはいかがだろうか。理由は次の通りだ。

1、信頼性

 以前の認証局の選択基準は、同じサーバ証明書の種類であればせいぜい“ガラケー”での対応率と価格程度だった。だが、スマートフォンが普及し、Webサイトのガラケー対応の重要性が無視できる程度まで下がってくると価格以外にはほとんど差別化要因がなくなった。その状況が一変したのは2017年9月のGoogleの発表からだ。

 Symantecが業界標準の監査プロセスに従わずに不正なサーバ証明書を発行していたことを受け、GoogleはChromeでのSymantec発行のサーバ証明書を段階的に無効化する、と発表した。そしてそれは発表通りに実行されつつあり、執筆時現在、2016年6月1日以前にSymantecから発行された証明書は無効なものとなっている。

 Symantecのサーバ証明書発行事業は、以前の最大手VeriSignから買収したもので、Symantecの他にもGeoTrust、RapidSSL、Thawteといったブランドが含まれている。Symantecはその後、同事業をDigiCertに売却したが、一部のブランドではシステム切り替え時に障害が発生し、長期に渡って発行が停止するなど利用者にとって大きな影響を及ぼした。

 その他にも証明書販売代理店が顧客の秘密鍵を電子メールで送信したために約2万3000件の証明書が即時失効となった事件、クラッキングによって偽造証明書が発行された事件など、安全性を求められる証明書であるがゆえに、過去には多くの事件が発生している。

 このような事例を目の当たりにすると、信頼できる認証局を選択する重要性は明らかだ。JPRSがサーバ証明書発行を行っていることを知らなくても、JPRSという名を聞いたことがある人は多いだろう。

 JPRSは世界で唯一のJPドメイン名のレジストリ(登録管理組織)だ。これまでサーバ証明書の不正発行といったトラブルがないことはもちろん、JPドメイン名も20年近く無事故で運用していることからも、その信頼性の高さはいうまでもない。

2、利用可能オプション

 同じサーバ証明書の種類でも認証局によって利用可能なオプションやライセンスに違いがある。JPRSは以下の点でお勧めだ。

  • 1ライセンスでサーバ台数無制限

 ロードバランサーなどで複数のサーバで1つのサイトを運用する場合などは、TLS終端する機器全てにサーバ証明書を導入する必要がある。1ライセンスで複数のサーバに導入できるのか、サーバの台数分のライセンスを購入しなければならないのかは証明書によって異なる。

 なお、「複数のサーバでも1枚の証明書でOK」と「複数のサーバでも1ライセンスでOK」は意味が異なる場合があるので注意してほしい。「複数のサーバでも1枚の証明書でOK」はあくまで「同じ証明書を複数のサーバにインストールできる」という意味にすぎず、費用は台数分必要という場合が多い。その点、JPRSは1ライセンスで導入できるサーバ台数が無制限であるため、1サイトにつき1ライセンスを購入すればよい。

  • ワイルドカードオプション

 同じドメイン内で異なるホスト名を使って複数のサイトを運用する場合、通常であればサーバ証明書はサイトごとに必要となる。これはサーバ証明書がFQDN(ホスト名+ドメイン)単位で発行されるからだ。プロダクトやチャンネルごとに異なるFQDNでサテライトサイトとして運用を行うことは一般的だが、今ではそのすべてをHTTPS対応しなくてはならない。サイトが増えてくれば費用だけでなく、導入や更新の手間も無視できない。

 そのような場合にはワイルドカードオプションが有用だ。これは1枚の証明書で同一ドメイン(サブドメイン)のすべてのホストを証明するもので、例えば「*.itmedia.co.jp」で取得すれば「www.itmedia.co.jp」「pcuser.itmedia.co.jp」、ホスト名のない「itmedia.co.jp」などでも利用できる。

 ワイルドカードオプションをうまく利用すれば、開発環境やプレビューサイトなど、外部に公開していないサイトに対しても容易にDVを取得することができる。

  • ダブルアドレスオプション

 「itmedia.co.jp」のようにwwwなしのアドレスにアクセスすると「www.itmedia.co.jp」にリダイレクトされるというサイトは一般的だが、両方のFQDNに対してサーバ証明書を導入しておかないと、リダイレクトの前にセキュリティ警告が出てしまう。

 もちろん、ワイルドカードオプションを使って1枚のサーバ証明書で両方をカバーすることもできるが、wwwあり、なし以外のホスト名を使用する予定がなければもっと安価に購入できる。それがJPRSが無料オプションとして提供しているダブルアドレスオプションだ。

 ダブルアドレスオプションは1枚のサーバ証明書でwww+ドメイン名、ドメイン名のみの両方で利用できる。

  • 海外法人に対しても利用可能(ドメイン認証の場合)

 海外に現地法人を持つグローバル企業の場合、当該ドメインの管理者が現地法人であることもある。現地法人側にシステム担当がいればよいが、そうでない場合は日本でサーバ証明書を取得しないとどうにもならないこともある。

 サーバ証明書によってはドメイン認証であっても、日本国内の組織が所有しているドメインでなければ受け付けないものもある。JPRSのドメイン認証はドメインを保有している組織が海外であっても問題なく発行できる。このような制限はあまり言及されることがなく、サーバ証明書購入サイトにも記載がない場合が多い。海外現地法人のサーバ証明書を代行購入する人は気を付けてほしい。

  • 乗り換え対応

 通常、証明書の有効期間は発行した日からカウントされる。そのため、すでに他社の証明書が導入されている場合は乗り換える際に有効期間の重複が発生する。なるべく無駄をなくすためには他社の証明書の有効期間ぎりぎりに発行しなければならない。

 JPRSは他社からの乗り換えに対応しており、すでに他社の証明書を導入している場合はその証明書の有効期間終了時点から有効期間をカウントする。証明書自体は発行直後から有効なので、有効期間ぎりぎりに発行するような調整は不要だ。

他社証明書からの乗り換えは残有効期限+1年(もしくは2年)の有効期間となるため、スムーズに移行できる

3、価格

 信頼性の高さや品質にも関わらず、安価なこともJPRSの特徴だ。原稿執筆時点でJPRSの販売代理店(指定事業者)ではドメイン認証で972円(1年、税込)(さくらインターネット)から入手できる。また、少し割高にはなるものの直販にこだわるのであれば、JPRSの直販であるJPDirectからドメイン認証で1万1772円(1年、税込)で入手できる。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社日本レジストリサービス
アイティメディア営業企画/制作:ITmedia PC USER 編集部/掲載内容有効期限:2018年5月31日

アンケート実施中

本記事に関連して「サーバー認証」についてのアンケートを実施中です。回答いただいた方の中から抽選で【3名様にAmazonギフト券5,000円分】をプレゼントします。所要時間は3分程度です。ぜひご協力ください。